iidaの日記: Apache 2.2.22のhttpd-ssl.conf
先日リリースされたApache 2.2.22だが、SSL/TLSの立上げファイルが4点、変更された。
- SSLv2を無効化。具体的には次のコメントと指定が追加に。
# SSL Protocol support:
# List the protocol versions which clients are allowed to
# connect with. Disable SSLv2 by default (cf. RFC 6176).
SSLProtocol all -SSLv2 - 暗号法の変更。SSLCipherSuite指定の引数が「ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL」から「HIGH:MEDIUM:!aNULL:!MD5」へ変更。
- コメントの追加。
# Speed-optimized SSL Cipher configuration:
# If speed is your main concern (on busy HTTPS servers e.g.),
# you might want to force clients to specific, performance
# optimized ciphers. In this case, prepend those ciphers
# to the SSLCipherSuite list, and enable SSLHonorCipherOrder.
# Caveat: by giving precedence to RC4-SHA and AES128-SHA
# (as in the example below), most connections will no longer
# have perfect forward secrecy - if the server's key is
# compromised, captures of past or future traffic must be
# considered compromised, too.
#SSLCipherSuite RC4-SHA:AES128-SHA:HIGH:MEDIUM:!aNULL:!MD5
#SSLHonorCipherOrder on -
従来、HTTPのAgent要求ヘッダーが「MSIE」の文字が含むときKeepAliveを無効化していた。
2.2.22では、「MSIE 」(末尾にスペースあり) の後、数字の「2」~「5」がくるときだけ無効化するよう限定された。
Apache 2.2.22のhttpd-ssl.conf More ログイン